Jump to content

! CUIDADO ! con los MP3


Recommended Posts

Highlander, Tío, si tienes una mínima idea de como funcionaba el sistema "clásico", este concepto no era demasiado difícil de imaginar. SIEMPRE ha sido posible hacerlo.

 

Es una idea algo más sutil que crear un script maligno, llamarlo "pedazocrackdelphotoshop[k]" y soltarlo por internet. Tienes razón: es un concepto burdo y primitivo. Por lo pronto, cualquier programilla que nos bajemos puede ser un troyano, si nos ponemos en eso. Hasta el Graphic Converter. Pero no me quita el sueño esa posibilidad. Y el troyano, tampoco. La solución debe ser cambiar dos líneas de código de los cientos de miles que son el MacOS X.

 

Ahora, si tienes una erección pensando esas cosas, pues no seré yo quien te la destemple :D

Edited by PapanatasPiuPiu
Link to post
Share on other sites
  • Replies 88
  • Created
  • Last Reply

Top Posters In This Topic

Incluso en el peor de los casos (que dicho virus o lo que sea me borre TODO el disco duro, y en ningún momento he dicho que no pueda hacerlo), nunca será como el cataclismo que nos quieres hacer ver, highlander. Me da igual que esperes sentado, porque yo no espero a nada. Estás poniéndote en una posición tan visceral como la que tú mismo atacas, y creo que en ningún caso por aquí nadie haya dicho que el OS X sea un sistema invulnerable. Por favor, hazme un QUOTE de al menos cinco personas diciendo algo parecido, y aún así eso no se podría hacer extensible al resto de los usuarios de Mac ;)

Link to post
Share on other sites

Nadie dice que Mac OS X sea un sistema invulnerable... pero, en general, todo el mundo actua como si lo fuera, quedaréis conmigo <_<

 

Y sí: como diría Mitchnik, es mucho más fácil pescar un troyano por dejarse engañar por las apariencias, más que por su sofisticación tecnológica. Luego no hay que bajar la guardia, porque el grado de la perrería que te pueden hacer es enorme.

 

 

NUEVA VULNERABILIDAD:

 

por cierto: MacFixIt señala otro nuevo truco para colarnos una, utilizando un punto que no es realmente un punto en el nombre del archivo, de manera que la extensión del archivo no llega a ser una extensión. El problema que presenta esta técnica es que, si Apple implementase un chequeo de coherencia entre Tipo y Extensión, no denunciaría la inconsistencia, porque realmente no habría tal (ya que no habría Extensión).

 

http://www.macfixit.com/article.php?story=20040419065131564

Link to post
Share on other sites

No creo que la gente actúe como si el OS X fuera invulnerable (y doy por sentado que la gente sabe que NO es invulnerable), si no que quizá, al menos en mi caso, alarmarse en exceso y sobreprotegerse podría suponer un esfuerzo mayor que si tuvieras que arreglar un desaguisado que te pudieran hacer en un momento dado. Que hay que pagar el pato alguna vez... puede, pero manteniendo unas pocas precauciones ante unos posibles, y más que probablemente, de momento, nulos o escasos ataques, creo que tampoco es como para crear excesivo alarmismo. Y, desde luego, no más que el que ya tienen mis amigos peceros, que tampoco te creas que viven angustiados con el historial de (in)seguridad que llevan a sus espaldas. Además, con formatear el disco duro lo resuelven todo, todo, todo... :P Y mira, hasta llegado el caso, eso también se puede hacer en un Mac ;)

Link to post
Share on other sites

Un conocido con lo que está ahora contentísimo es con haberse pescado un disco USB2/Firewire para su PC. Como su hija se baja todo lo habido y por haber, cada dos por tres borra el disco interno y restaura. El peligro de eso es que no tiene realmente la seguridad de que su última salvaguardia esté libre de pecado.

Link to post
Share on other sites
El peligro de eso es que no tiene realmente la seguridad de que su última salvaguardia esté libre de pecado.

Justo. Está claro que riesgos existen; se trata de minimizarlos sin un esfuerzo ímprobo (no me compensa para lo que yo hago montar un raid o un backup profesional para hacer copias por quintuplicado de todo lo que hago).

Además, ¿los datos tipo .PSD, .TIF, etc. serían realmente portadores de algo maligno? Mientras sean del tipo de este troyano MP3seado :D tampoco es como para volverse demasiado loco.

Mientras en mi ciudad, Zamora, no haya demasiada delincuencia (que puede llegar a haberla, no digo que no), yo tampoco me comeré demasiado el tarro cuando vaya por la calle pensando en que me van a atacar. Y cuando haya esa delincuencia, ya procuraré buscar métodos que eviten dichos ataques. Ésa es la cuestión, o al menos así la entiendo yo.

Si en el fondo creo que estamos todos de acuerdo, sólo que es una cuestión de matices ;)

 

Por cierto, es irónico, pero hace poco me he enterado de que Zamora estaba en una lista negra de los de Al-Qaeda como posible objetivo en esta Semana Santa... :blink: aunque mucho me temo que para eso no hay remedio :unsure:

Edited by vili
Link to post
Share on other sites

Quizás una analogía mejor, en vez de que te atraque un ladrón, es que se te suba en la chepa y cada vez que mires atrás se aparte un poco y se ponga a silbar como que la cosa no va con él :lol:

Link to post
Share on other sites

Pero al cabo de un tiempo mis lumbares empezarían a notar algo de cansancio, sospecharía, y sin mirar hacia atrás, para no levantar sospechas en el caco, le aplastaría de espaldas contra alguna pared bien dura y áspera para jorobarle sus dorsales, cervicales, cocorota y lo que pille :lol: :lol: :lol:

Link to post
Share on other sites
Esta claro, que ni si os pasa el filo de la navaja a dos milímetros justos de la yugular, os dareis cuenta de que, solo con mala intención, algo tan burdo como este troyano, podría ser fatal.

 

Quiza la próxima vez no avise, o no tenga solo intención de hacer una broma tonta.

 

Simplemente es solo eso lo que separa una broma, de una broma fatal.

 

Yo mientras tanto espero sentado.

 

Ha llegado a ser aun más divertido y rápido, de lo que yo pensaba, el desengaño.

 

:D

 

Lo peor no es el troyano. Lo peor es la manera tan burda y sencilla con la que han conseguido hacerlo. Aunque andes con las piernas cerradas, y el culo apretado todo el dia, en algun momento tendras que agacharte para atarte los cordones de los zapatos. Y yo no me fiaria mucho de las paredes tampoco

 

:D :D

Lo peor no es el troyano. Lo peor es la manera tan burda y sencilla con la que han conseguido hacerlo. Aunque andes con las piernas cerradas, y el culo apretado todo el dia, en algun momento tendras que agacharte para atarte los cordones de los zapatos. Y yo no me fiaria mucho de las paredes  tampoco

 

Highlander vuelve al ataque...

 

Sobre formas de engañar al usuario han corrido ríos de tinta. Esto es tan viejo como la informática. Por ejemplo, retrocediendo un tiempo, los popups de los navegadores son peligrosos. Ahora se procura que cuando un navegador abre un popup esté claro que se trata del navegador. Aun así, ¿cuantos usuarios picarían si un web abriera un popup lo más parecido posible a una ventanita de Outlook o Mail.app pidiendo el password debido a un error?

 

Retrocediendo más aún en el tiempo, a antes de 1990, con los terminales de texto (¡SÍ, EN UNIX!) podían pasar cosas más o menos parecidas. Es muy recomendable la lectura de un libro excelente de la época, "Unix System Security" de Wood y Kochan (1987), porque trata temas de seguridad ahora olvidados, haciendo hincapié en el carácter multiusuario de Unix. Un usuario de la máquina podría intentar hacer la puñeta a otro, y había dos formas de hacerlo:

 

1- Dejando un sencillo programa en el terminal que mostrara el "login:" y pidiera el password como si fuera el auténtico programa /bin/login, mostrando un error en el primer intento (y ejecutando después el login auténtico para evitar sospechas) y haciendo que guardara el usuario y password en un archivo.

 

2 - Estableciendo un diálogo de terminal a terminal con un usuario (o mandándole correo electrónico) con códigos maliciosos que reprogramaran cosas en las teclas del terminal, por ejemplo (para esto había que conocer el modelo de terminal, claro).

 

En fin... que problemas derivados de engañar al usuario ha habido (y habrá) siempre. Si al archivo le puedo poner el icono que me de la gana, es fácil hacer picar al usuario; basta con ponerle a un ejecutable el icono de un MP3 como si lo fuera a abrir iTunes. Para que no fuera posible ejecutar un programa malicioso por error, sería necesario algo tan radical como que el sistema hiciera algo con él que *NO* pueda hacerse de otra forma. Por ejemplo: ¿Puede un programa contener un icono que varíe cuando el ratón le pasa por encima? Si esa posibilidad no existiera, se podría hacer que el sistema pintara de otro color el icono o le pusiera un borde al pasar el cursor, indicando que es un ejecutable.

 

Os voy a dar otro ejemplo de puñeta de este tipo, ésta aplicable al Mac. Podéis decir que he "diseñado otro peligroso y devastador virus" :P :P :P :P :P :P

 

¿Qué pasaría con un ejecutable que tuviera como icono un dibujito (ejemplo, el icono de iTunes) incluyendo el dibujito un nombre (cosa.mp3) pero, lo dejo claro, con el nombre DIBUJADO? y como auténtico nombre de archivo un simple espacio??? (Si lo publican después en algún sitio recordad que éste ha sido el primer sitio donde lo habéis visto) :-) :-)

 

En definitiva, esto se trata de un problema de confianza en lo que un usuario ve, y es algo inherente a cualquier interfaz de usuario (¡¡¡incluso de texto!!!).

 

De todas formas, sigo y seguiré insistiendo. No me preocupan los virus/gusanos que el usuario instala por poner en marcha el super salvapantallas de Pamela Anderson/La Bruja Lola/Apeles/Orlando Bloom/Lassie (que cada cual escoja según sus preferencias), sino los programas que, gracias al enorme número de deficiencias DE DISEÑO que tiene Windows, comenzando por el ActiveX en el Explorer (problema que afecta también a Outlook) se instalan sin ningún conocimiento por parte del usuario.

 

Es curiosa, por cierto, la historia de ActiveX; en la época en la que Microsoft perpetró la criatura, había dos proyectos interesantes: Java y un sistema operativo llamado Inferno, diseñado en los Laboratorios Bell, cuna de Unix, la fibra óptica, los satélites de comunicaciones, la Teoría de la Información... en definitiva, uno de los centros de investigación punteros.

 

Ambos sistemas, tanto Java como Inferno, tienen poco que ver excepto en una cosa: estaban basados en una máquina virtual. Java está basado en una máquina virtual por dos motivos básicos:

 

1 - Seguridad independiente del sistema operativo "anfitrión". Dado que una de las intenciones de sus autores era que fuera válido para que los ordenadores ejecutaran código de sitios en los que no necesariamente confiaba el usuario, esto era un requisito fundamental.

 

2 - Independencia del hardware y el sistema operativo. Se trataba de que Java no funcionara solamente en una arquitectura o un sistema operativo determinado. De esta forma, las aplicaciones Java pueden funcionar en entornos heterogéneos.

 

 

Por otra parte, Inferno, diseñado teniendo en cuenta la posibilidad de que los llamados "set top boxes" de las redes de cable fueran muy heterogéneos, sobre todo, también era, claro está, independiente del hardware. Y se puede ejecutar la máquina virtual de Inferno en Windows, Solaris, Plan 9, FreeBSD, Linux, y también utilizarla como sistema operativo en un decodificador de TV por cable con acceso a Internet, procesador de texto y juegos, por ejemplo.

 

¿Qué hizo Microsoft? Dos cosas:

 

1 - Intentar jorobar Java sacando herramientas de desarrollo con extensiones incompatibles con el estándar que solamente funcionaban en Windows. Es decir, cogieron un lenguaje de programación con una máquina virtual y programas completamente portables y los trataron de atar a Windows.

 

2 - Perpetraron su propio sistema, Active X, que básicamente pretendía hacer lo mismo, pero estaba atado a Windows, no basado en una máquina virtual. Todo esto a pesar de los ríos de tinta que habían corrido sobre la conveniencia de tener cuidado con el "código móvil" procedente de fuentes que no son de confianza o recibido a través de canales no seguros (por lo que puede ser susceptible de alteración).

 

En fin... Soy muy, muy pesado con el tema de las cagadas de seguridad de Microsoft, pero resulta que hay una serie de señores (entre ellos periodistas que no saben nada de informática y empleados de Microsoft) que pretenden hacernos creer que todos los fallos de seguridad son iguales, y que todos los sistemas operativos tienen los mismos problemas, problemas de la misma gravedad. Y eso, señores, es radicalmente falso. Quien sostenga esto, o no tiene ni repajolera idea de lo que habla, o es está tratando de desinformar descaradamente.

 

Si alguien tiene curiosidad por leer algo nuevo sobre sistemas operativos (parece que este fascinante mundo está parado por el duopolio Windows-**IX), puede echar un vistazo a estos enlaces:

 

 

http://plan9.bell-labs.com/ (parece que está fallando, pero lo arreglarán)

 

Hay un enlace al sistema operativo Plan 9, y otro a Inferno.

Link to post
Share on other sites

Otra posibilidad sencilla para evitar este problema sería cambiar la forma del cursor del ratón al ponerlo encima de un archivo reconocido como ejecutable por el Finder.

 

Y ya ayudaría a resolver la confusión si el cursor cambiara de color. Para evitar montar un circo de colores, esto podría ocurrir solamente cuando el usuario no hubiera ejecutado previamente el archivo. Una vez lo hubiera hecho (esto estaría almacenado en un cache) el cursor solamente cambiaría de forma pero no ya de color.

 

Si esto se hiciera así, con el cursor cambiando (por ejemplo) a rojo brillante, no habría confusión. Si un usuario acaba de descargar un MP3 y al ir a abrirlo el cursor se le pone rojo, ¿no lo pensaría dos veces? Por supuesto, no se pueden hacer milagros. Al fin y al cabo mucha gente descarga programas pirateados de redes P2P sin preocuparse de si llevan "aliens". Pero al menos se eliminaría la confusión.

Link to post
Share on other sites

Y ¿por qué no, al estilo de las etiquetas de Gnome, la primera vez que tenemos un ejecutable le pone una etiqueta pequeña en una esquina del icono indicando que es una aplicación? Esta etiqueta se podría configurar para desparecer una vez ejecutado el fichero...

 

En cuanto a lo del nombre dibujado en el icono, no lo veo claro, pues no quedaría en la misma línea de nombres que los demás iconos...

Link to post
Share on other sites
En cuanto a lo del nombre dibujado en el icono, no lo veo claro, pues no quedaría en la misma línea de nombres que los demás iconos...

 

Ya se que no sería perfecto, pero despistaría. Enviado al número suficiente de usuarios (aunque claro, no tantos tenemos Mac!) ;) ;) un buen porcentaje pincharía sin dudarlo.

Link to post
Share on other sites

Yo sigo pensando que la propuesta menos incómoda y más a prueba de balas es la que proponía un Arsiano: la primerísima vez que se ejecute una aplicación en Mac OS X, que pida la contraseña del usuario. Así ya no hay truco que valga (incoherencias Tipo/Extensión, Extensiones aparentes, nombres de archivo simulados en el icono): ves el diálogo y dices "tate, aquí hay tomate".

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.